Stingo Posted February 25, 2004 Posted February 25, 2004 Вот размышляя над авторизацией по vpn возник такой вопрос, а что будет, если шипко умный товарищ поднимет еще один vpn сервер в сети? Вставить ник Quote
frozer Posted February 25, 2004 Posted February 25, 2004 И хер с ним, у клиентов то ведь твой сервер будет прописан. И не путай VPN с PPPoE (но и там можно использовать номер сервера для идентификации) Вставить ник Quote
nuclearcat Posted February 25, 2004 Posted February 25, 2004 Кроме того у PPPoE есть AC cookies. Вставить ник Quote
Stingo Posted February 25, 2004 Author Posted February 25, 2004 Просто я еще не пробовал их настраивать, только завтра начну. Вообще, задача стоит как бы защититься от несанкционированного доступа, а так же шейпинг, если будет возможность шифрование трафика, + скрестить это с radius. А вопрос просто пришел в голову, ибо не савсем понятны требования к железу, сколько пользователей оно сможет обрабатывать, отсюда встает вопрос о маштабируемости сети, и о том как бы кто без меня масштабы не расширил :) Вставить ник Quote
nuclearcat Posted February 25, 2004 Posted February 25, 2004 На nag-е сейчас будут публикации по этим вещам. Вы кстати смотрели что сейчас на главной странице висит? Там именно по этой теме... Вставить ник Quote
Stingo Posted February 26, 2004 Author Posted February 26, 2004 То что на первой странице висит довольно скудно, и не дает полной картины. Что касается того что это будет в будущем, то это хорошо, но сидеть и ждать у моря погоды не привычно :) Вставить ник Quote
frozer Posted February 26, 2004 Posted February 26, 2004 Вопросы поднятия PPPoE/VPN (как средствами pptpd/mpd так и через IPSEC) подробно рассмотрены в куче веток на форуме Opennet.ru - т.е. нужно просто не полениться и поискать. Вставить ник Quote
Stingo Posted February 26, 2004 Author Posted February 26, 2004 Все это было просмотрено, я не такой ленивый как могло показаться, но читая их у меня возник вопрос, я на него получил ответ, за это спасибо а писать читай rtfm я и сам могу дать, вообщем-то этим и занят на текущий момент. Вставить ник Quote
Stingo Posted February 26, 2004 Author Posted February 26, 2004 В протоколе PPPoE предусмотрены некоторые дополнительные функции, например, такие как защита от DoS атак (Denial of Service). Защита от некоторых типов DoS атака реализована путем добавления в пакеты PADI специального поля AC-Cookie, которое позволяют концентратору доступа ограничивать количество одновременных сессий PPPoE на одного клиента. Все же осталось не понятно, ограничение идет на количество соединений для клиента, а что будет если 2 сервера РРРоЕ в одной сети, куда пойдет клиент, ведь работает по бродкасту. Вставить ник Quote
Stingo Posted February 26, 2004 Author Posted February 26, 2004 Но да это конечно случай единичный, а вот интересно как не только авторизовать по радиусу, но и выдавать скорость? :) Вставить ник Quote
nuclearcat Posted February 26, 2004 Posted February 26, 2004 Я ставил эксперимент, пиратом ставил свой сервер. Что любопытно - ко мне заходили юзеры только те, которых отшивал основной сервер (истекшие аккаунты или неверный пароль), в течении часа - я так и не стырил ни одного пасса и логина. Потом еще оказалось, что у них залочен CHAP only, в итоге я остался с носом (я тогда хотел раскритиковать PPPoE таким способом) Вставить ник Quote
nuclearcat Posted February 26, 2004 Posted February 26, 2004 Stingo - такое умеют StarOS, Mikrotik (передавать скорость по Радиусу), у себя я активно использую это, в следущих обзорах появиться инфа про это, думаю даже напишу как сделать это все на линухе, не покупая старосы и микротики. Вставить ник Quote
Stingo Posted February 26, 2004 Author Posted February 26, 2004 Вообще есть идеи как это можно попробовать релиазовать без всяких микротиков, но пока это на уровне идей, а так сегодня практически все настроил, в качестве сервера биезда, клиент виндоза 2000, если у тебя уже есть наработки буду рад на них взглянуть что бы не изобретать велосипед, черкануть можно сюда stingo@yandex.ru. Хотя всетаки вопрос по производительности так у меня и остался не проясненым, на каком железе сколько пользоватей можно обслужить... в разных форумах данные весьма противоречивые перетекающие во флейм... Вставить ник Quote
nuclearcat Posted February 27, 2004 Posted February 27, 2004 По части соображений - они будут в обзоре :) Я пока готовлю материал... По железу - я обычно ставлю кластер серверов, на каждый сервер (желательно P3-256/512RAM) - до 200 пользователей в часы пик. При наличии нескольких PPPoE по опыту они сами нагрузку распределяют между собой. Вставить ник Quote
Stingo Posted February 27, 2004 Author Posted February 27, 2004 Ну скажем у меня где-то за 300 выделенок, если поставть 2xP4, потянет? Вставить ник Quote
nuclearcat Posted February 27, 2004 Posted February 27, 2004 А зачем на выделенке PPPoE? Я не в курсе, возможно там есть какой-то ограничитель на 256 сессий, но вполне вероятно что потянет и просто хороший P4 (2.8 Ghz например) и 1 GB RAM. Вставить ник Quote
Stingo Posted February 27, 2004 Author Posted February 27, 2004 А что бы не было бардака в сети со сменой ип, масов и тд.. да и менеджмент упрощается пользователей, когда кого отлучить надо от секты. Вставить ник Quote
AlexPan Posted February 27, 2004 Posted February 27, 2004 PPPoE конечно хорошая вещь..., но вот производительность... По сравнению с PPTP очень большое падение производительности. Если по PPTP удается пропихнуть в пике до 1000 кбайт/сек, то один единственный линк по PPPoE выше чем 100-150 кбайт/сек разогнать не удалось. Использовалась Фря. Подобный результат был достигнут и на Cisco 2600. Так что раздавать быстрый канал с такой производительностью просто нереально!!! :(( Может кто попробует на 7200 или 7400...? Вставить ник Quote
Stingo Posted February 27, 2004 Author Posted February 27, 2004 хм, может я чего не так делал, но у меня с первого раза был результать в 2Мбита/с... учитывая что линк Е1. претензий к производительности нет. кстати, тоже на фре все делалось. Вставить ник Quote
AlexPan Posted February 27, 2004 Posted February 27, 2004 А у нас линк 100 Мбит/с... Так что претензии есть! А что конкретно использовали? Кто-то мне говорил, что в OpenBSD есть достаточно качественный PPPoE. Хотя, может для него E1 тоже потолок производительности... Вставить ник Quote
jab Posted February 28, 2004 Posted February 28, 2004 А у нас линк 100 Мбит/с... Так что претензии есть! А что конкретно использовали? Кто-то мне говорил, что в OpenBSD есть достаточно качественный PPPoE. Хотя, может для него E1 тоже потолок производительности... P166/64MB, FreeBSD 4.9-S, pppoed, 30Mbit/s на больших пакетах, компрессия и криптография отключены за ненадобностью. Может я что-то не так делаю ? ( Вообще оно и больше даст ) Вставить ник Quote
Stingo Posted March 1, 2004 Author Posted March 1, 2004 jab, А сколько активных сессий одновременно? Получилось скрестить с radius используя фильтры при поднятии/апускании интерфейса и делаем/удаляем пайпы :)) так что нарезка канала решается без патченья всех делов, жаль тока в ppp не встроен bandwidth management Вставить ник Quote
Guest Posted March 3, 2004 Posted March 3, 2004 PPPoE конечно хорошая вещь..., но вот производительность... По сравнению с PPTP очень большое падение производительности. Если по PPTP удается пропихнуть в пике до 1000 кбайт/сек, то один единственный линк по PPPoE выше чем 100-150 кбайт/сек разогнать не удалось. Использовалась Фря. Подобный результат был достигнут и на Cisco 2600. Так что раздавать быстрый канал с такой производительностью просто нереально!!! :(( Настроен PPPoE-сервер на CISCO 2651XM. В данный момент работает одновременно до 50 пользователей. Проблем со скоростю нет. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.